Workspace API kullanıcı verileri ve geliştirici politikası

Google Workspace API'lerini kullanan bir geliştirici olarak genellikle hassas kullanıcı verilerini toplar ve yönetirsiniz. Lütfen şu temel ilkeleri aklınızda bulundurun:

  • Gizliliği koruma: Workspace kullanıcı verilerini izin verilmeyen amaçlarla kullanmayın. Üçüncü tarafların, kullanıcı verilerini satmalarını veya kullanıcı verilerini reklam amaçlı kullanmalarını yasaklarız.
  • Şeffaf olun: Hangi verileri toplayacağınızı, neden toplayacağınızı ve bunları nasıl kullanacağınızı kullanıcılara doğru şekilde açıklayın ve açıklayın.
  • Saygılı olun: Kullanıcıların verilerini silme isteklerine saygı gösterin.
  • Güvende olun: Tüm kullanıcı verilerini güvenli bir şekilde işleyin ve belirli güvenlik uygulamalarına bağlı olduğunuzu gösterin.
  • Spesifik olun: İhtiyacınız olmayan verilere erişim isteğinde bulunmayın. Tüm veri erişimi yalnızca kullanıcılara uygulamanızın veya hizmetinizin fayda sağlayan özelliklerini sağlamak amacıyla yapılmalıdır.

Workspace API Hizmetleri Kullanıcı Verileri Politikası

Geliştirici olarak kullanıcı verilerine erişme isteğinde bulunduğunuzda tüm Google API Hizmetleri'nin kullanımı, Google API Hizmetleri Kullanıcı Verileri Politikası'na tabidir. Bu Workspace API Hizmetleri Kullanıcı Verileri ve Geliştirici Politikası, kullanıcı verilerine erişme isteğinde bulunduğunuzda Gmail, Chat, Drive, E-Tablolar ve diğer Google Workspace ürünleri de dahil olmak üzere Workspace API'lerini kullanımınızı ve bunlara erişiminizi yöneten ek bilgiler içerir.

Aşağıdaki politikaya ek olarak Google API'leri Hizmet Şartları, Google Chat Kabul Edilebilir Kullanım Politikası, Google Chat Geliştirici Kılavuzu, Google Drive API Hizmet Şartları, Google Drive Program Politikaları, Google Drive Geliştirici Kılavuzu, Gmail Program Politikaları, Gmail Geliştirici Komut Dosyası, Gmail Geliştirici Komut Dosyası, Gmail Geliştirici Komut Dosyası, Gmail Geliştirici Komut Dosyası, Kullanımınız Google Workspace Marketplace Geliştirici Sözleşmesi'ne de tabi olabilir. Ayrıca, yürürlükteki tüm yasa ve yönetmeliklere uymanızı şart koşarız.

Bu politikalar zaman zaman güncellendiği için lütfen bu sayfayı arada bir ziyaret edin. Bu politikalara uygunluğunuzu düzenli olarak izlemek ve sağlamak sizin sorumluluğunuzdadır. Politikalarımızın gereksinimlerini karşılayamazsanız (veya bu şartları karşılayamayacağınıza dair önemli bir risk varsa) lütfen derhal hizmetlerimizi kullanmayı bırakın ve bize ulaşın. Bu politikaya uymazsanız Google kullanıcı verilerini kaldırma veya kısıtlama hakkımızı saklı tutarız.

Google Gmail API'lerine erişim ve bunların kullanımı

Kullanıcı verilerine erişim talepleri açık ve anlaşılır olmalıdır. Google Workspace API'leri yalnızca bu Politika'da belirtilen geçerli politikalara, hükümlere ve koşullara uygun olarak ve onaylanmış kullanım alanları için kullanılabilir. Yani yalnızca uygulamanız veya hizmetiniz, onaylanan kullanım alanlarından birini karşıladığında izinlere erişim isteyebilirsiniz. Yalnızca uygulamanız veya hizmetiniz onaylanmış kullanım alanlarımızdan birine uygun olduğunda Workspace API'lerine erişim isteyin.

Gmail API kapsamlarına erişim için onaylanan kullanım alanları şunlardır:

  1. Kullanıcıların, bir kullanıcı arayüzü aracılığıyla e-posta oluşturmasına, göndermesine, okumasına ve işlemesine olanak tanıyan yerleşik e-posta istemcileri ve web e-posta istemcileri.
  2. E-postaları otomatik olarak yedekleyen uygulamalar
  3. Üretkenlik amacıyla e-posta deneyimini iyileştiren uygulamalar (ör. müşteri ilişkileri yönetimi için başvurular, gecikmeli e-posta veya posta birleştirme gönderme veya üretken yapay zeka özetleri sağlama)
  4. E-posta deneyimini iyileştiren kullanıcıların yararına raporlama veya izleme hizmetleri sunmak için e-postalardan gelen bilgileri kullanan uygulamalar (örneğin seyahat programlarını otomatikleştiren veya uçuşları ya da paket teslimat durumlarını takip eden uygulamalar)

Aşağıdaki uygulama türleri, Gmail API kapsamlarına erişmesi onaylanmamış uygulamalara örneklerdir. Bu tür içerikler aşağıda belirtilmiştir ancak bunlarla sınırlı değildir:

  1. Mobil klavyeler.
  2. Bir kez veya manuel olarak e-posta dışa aktaran uygulamalar.
  3. Gmail'de e-posta iletileri dışındaki verileri depolayan veya yedekleyen uygulamalar.
  4. Google politikalarını kötüye kullanmak, Gmail hesap sınırlamalarını atlatmak, filtreleri ve spam'i atlatmak veya kısıtlamaları başka bir şekilde alt etmek için birden çok hesap kullanan uygulamalar.
  5. Spam veya istenmeyen ticari posta dağıtan uygulamalar. Örneğin, müşteri ilişkileri yönetimi gibi toplu ticari posta gönderen uygulamalar, kullanıcı e-posta almaya izin verdiği sürece onaylanır.

Google Drive API'lerine erişim ve bunların kullanımı

Google Drive API'lerine yalnızca uygulamanız veya hizmetiniz onaylanmış kullanım alanlarımızdan biriyle eşleştiğinde erişim isteyin.

Google Drive API kapsamlarına erişim için onaylanan kullanım alanları şunlardır:

  1. Kullanıcıların Drive dosyalarının yerel senkronizasyon veya otomatik olarak yedeklenmesini sağlayan yerleşik uygulamalar ve web uygulamaları.
  2. Drive dosyalarını (veya meta verilerini ya da izinlerini) Drive dosyalarını (veya meta verilerini ya da izinlerini) yönetmek için yalnızca uygulamanın kullanıcı arayüzü aracılığıyla Kısıtlı Kapsamlar'ı kullanan üretkenlik ve eğitim uygulamaları (ör. görev yönetimi, not alma, iş grubu iletişimi ve sınıfta ortak çalışma uygulamaları).
  3. Dosyaların nasıl paylaşıldığı veya onlara nasıl erişildiğiyle ilgili kullanıcı ya da müşteriye analiz sağlayan raporlama ve güvenlik uygulamaları.

Aşağıdakiler dahil olmak üzere belirli kullanım alanlarında Google Drive API'ye izin verilmez:

  1. Bir geliştiricinin uygulamasındaki veya projesindeki kullanıcı veya uygulama içeriğinin Drive'a yedeklenmesi.
  2. Kripto para madenciliği.
  3. Telif hakkıyla korunan içeriğin izinsiz olarak geniş kapsamlı video dağıtımı veya yayılması.
  4. Büyük ölçekli içerik yayınlama ağının (CDN) yerine Drive'ı kullanma.
  5. Kullanıcı depolama alanının parçalanmasını sağlayan ve/veya Drive depolama alanı sınırlarının atlatılmasını sağlayan dosya klonlama araçları.
  6. Google politikalarını kötüye kullanmak, Google Drive hesap sınırlamalarını atlatmak veya kısıtlamaları başka bir şekilde alt etmek için birden fazla hesap kullanan uygulamalar.
  7. Spam veya istenmeyen ticari iletiler dağıtan uygulamalar. Örneğin, müşteri ilişkileri yönetimi gibi toplu ticari mesajlar gönderen uygulamalar, kullanıcı mesajları almaya izin verdiği sürece onaylanır.

Google Chat API'lerine erişim ve bunların kullanımı

Google Chat API'lerine yalnızca uygulamanız veya hizmetiniz onaylanmış kullanım alanlarımızdan biriyle eşleştiğinde erişim isteyin.

Google Chat API kapsamlarına erişim için onaylanan kullanım alanları şunlardır:

  1. Kullanıcıların, Chat mesajlarını veya benzer iletişimleri kullanıcı arayüzü üzerinden oluşturmalarına, göndermelerine, okumalarına ve işlemelerine olanak tanıyan yerleşik web uygulamalarıdır.
  2. Üretkenlik amacıyla Chat deneyimini geliştiren uygulamalar (ör. alandaki diğer üyelere görev atamanıza olanak tanıyan görev yönetimi Google Chat uygulaması).
  3. Kullanıcıların yararına raporlama veya izleme hizmetleri sağlamak için Chat mesajlarındaki bilgileri kullanan uygulamalar (örneğin, kullanıcılara iş arkadaşlarının ofis dışında olduğunu bildiren bir uygulama).
  4. Mesajları, üyelikleri, grupları veya diğer benzer Google Chat işlevlerini içe aktaran uygulamalar.
  5. Diğer mesajlaşma ürünleri, hizmetleri veya özellikleriyle birlikte çalışmak için Google Chat API'leri aracılığıyla edinilen verileri değiş tokuş eden ve kullanan uygulamalar.

Aşağıdakiler dahil olmak üzere belirli kullanım alanlarında Google Chat API'ye izin verilmez:

  1. Büyük ölçekli içerik yayınlama ağının (CDN) yerine Chat'i kullanma.
  2. Google politikalarını kötüye kullanmak, Google Chat hesap sınırlamalarını atlatmak veya kısıtlamaları başka bir şekilde alt etmek için birden fazla hesap kullanan uygulamalar.
  3. Spam veya istenmeyen ticari iletiler dağıtan uygulamalar. Örneğin, müşteri ilişkileri yönetimi gibi toplu ticari mesajlar gönderen uygulamalar, kullanıcı mesajları almaya izin verdiği sürece onaylanır.

Gerekli minimum izinleri isteyin

Yalnızca uygulamanızın veya hizmetinizin işlevselliğini sağlama açısından kritik öneme sahip izinlere erişim isteyebilirsiniz. Bunun anlamı şudur:

İhtiyaç duymadığınız bilgilere erişim isteğinde bulunmayın. Yalnızca uygulamanızın özelliklerini veya hizmetlerini kullanmak için gereken izinlere erişim isteyin. Uygulamanız belirli izinlere erişim gerektirmiyorsa bu izinlere erişim istememeniz gerekir. Henüz kullanıma sunulmamış hizmetlere veya özelliklere fayda sağlayabilecek bilgilere erişim isteyerek kullanıcı verilerine erişiminizi "gelecekte güvence altına almaya" çalışmayın.

Mümkün olduğunda bir bağlam çerçevesinde izin isteyin. Kullanıcıların verilere neden ihtiyaç duyduğunuzu anlamaları için kullanıcı verilerine erişimi mümkün olduğunda yalnızca bağlam dahilinde (artımlı yetkilendirme üzerinden) isteyin.

Şeffaf ve doğru bildirim ve kontrol

Uygulamanızın veya web hizmetinizin, kullanıcı verilerini nasıl topladığını, kullandığını ve paylaştığını açıklayan bir gizlilik politikasına sahip olmanız gerekir.

Uygulamalar ve hizmetler, kullanıcı verilerine ihtiyaç duyduğunuz bağlamda (artımlı yetkilendirme üzerinden) ve verilerin nasıl kullanılacağına da erişim istemelidir. Geçerli yasalar kapsamındaki gereksinimlere ek olarak, OAuth 2.0 ve Google API Hizmetleri Kullanıcı Verileri politikalarımızı yansıtan aşağıdaki gereksinimlere de uymanız gerekir:

  1. Verilere erişme, verileri toplama, kullanma ve paylaşma sürecinizle ilgili bir açıklama sağlamanız gerekir. Açıklama:

    1. Kullanıcı verilerine erişmek isteyen uygulamanın veya hizmetin kimliğini doğru şekilde temsil etmelidir;
    2. Uygulama tabanlı ise uygulamanın kendi içinde, web tabanlıysa ayrı bir iletişim penceresinde olmalıdır;
    3. Uygulama tabanlıysa veya web tabanlıysa web tabanlıysa uygulamanın normal kullanımı sırasında görüntülenmeli ve kullanıcının bir menüye veya ayarlara gitmesini gerektirmemelidir;
    4. Erişilen, istenen ve/veya toplanan veri türlerini açık ve doğru bir şekilde açıklamalıdır;
    5. Verilerin nasıl kullanılacağı ve/veya paylaşılacağını açıklamalıdır: Belirli bir nedenle veri talep ediyor ancak aynı zamanda ikincil amaç da kullanılacaksa kullanıcıları her iki kullanım alanı hakkında bilgilendirmeniz gerekir;
    6. Yalnızca bir gizlilik politikasına veya hizmet şartlarına eklenmemelidir ve
    7. Kişisel ve hassas verilerin toplanmasıyla ilgisi olmayan diğer açıklamalara dahil edilmemelidir.

  2. Açıklamanız, kullanıcı izni isteğiyle birlikte ve bu istekten hemen önce görünmelidir. Kullanıcının iznini almadan veri toplamaya başlamamanız gerekir. Rıza isteği:

    1. İzin iletişim kutusunu açık ve net bir şekilde sunmalıdır;
    2. Kabul edilmesi için kullanıcının onay verdiğini gösteren bir eylemi (ör. kabul et seçeneğine dokunma, bir onay kutusunu işaretleme, sözlü bir komut vb.) gerektirmelidir;
    3. Açıklamadan çıkılması (başka bir alana dokunma veya geri ya da ana sayfa düğmesine basma) izin olarak yorumlanmamalıdır ve
    4. Otomatik kapanan veya süresi dolan mesajlar kullanılmamalıdır.

  3. Kullanıcıların uygulama veya hizmetinizden verilerini nasıl yönetebileceğini ve silebileceğini açıklayan kullanıcı yardım dokümanları sağlamanız gerekir.

Kullanıcı verilerinin sınırlı kullanımı

Workspace API'lerine uygun bir kullanım için eriştikten sonra, elde edilen verileri kullanımınız aşağıdaki şartlara uygun olmalıdır. Bu gereksinimler, hem Hassas hem de Kısıtlanmış kapsamlardan türetilen veriler için geçerlidir.

  1. Veri kullanımınızı, uygun kullanım alanınızı veya özelliklerini sağlamak ya da iyileştirmekle ve istekte bulunan uygulamanın kullanıcı arayüzünde görünen ve belirgin şekilde sınırlandırın.

  2. Aşağıdakiler dışında veri aktarımına izin verilmez:

    1. Uygun kullanım alanınızı veya kullanıcılara yönelik özellikleri, istekte bulunan uygulamanın kullanıcı arayüzünde yalnızca kullanıcının izniyle görülebilecek ve belirgin olacak şekilde sağlamak ya da iyileştirmek için;
    2. Güvenlik nedeniyle (örneğin, kötüye kullanımın incelenmesi);
    3. Geçerli yasalara ve/veya yönetmeliklere uymak için ya da
    4. Kullanıcıdan açık şekilde izin alındıktan sonra geliştiricinin birleşmesi, satın alınması veya varlıklarının satışı kapsamında.

  3. Aşağıdaki durumlar haricinde kullanıcı verilerinin gerçek kişiler tarafından okunmasına izin vermeyin:

    1. Belirli verileri okumak için (örneğin, şifresini kaybeden bir kullanıcının ürüne veya hizmete yeniden erişmesine yardımcı olmak) için kullanıcının açık iznini aldınız ve belgelediniz;
    2. Veriler (verilerden türetilenler dahil) geçerli gizlilik ve yargı alanındaki diğer yasal şartlara uygun olarak toplanıp anonimleştirilir ve dahili işlemler için kullanılır;
    3. Güvenlik nedeniyle gerekli olması (örneğin, kötüye kullanımın incelenmesi) veya
    4. Yürürlükteki yasalara ve/veya yönetmeliklere uymak için.

Aşağıdakiler dahil olmak üzere diğer tüm kullanıcı verilerinin aktarılması, kullanılması veya satılması tamamen yasaktır:

  1. Reklamcılık platformları, veri aracıları ya da bilgi satıcıları gibi üçüncü taraflara kullanıcı verilerinin aktarılması veya satılması.
  2. Kullanıcı verilerinin yeniden hedefleme, kişiselleştirilmiş veya ilgi alanına dayalı reklamcılık dahil olmak üzere reklam yayınlamak amacıyla aktarılması, satılması ya da kullanılması.
  3. Kullanıcı verilerinin, kredibilite tespiti veya kredi verme amacıyla aktarılması, satılması ya da kullanılması;
  4. Uygun kullanım alanı veya kullanıcıya yönelik özellik doğrultusunda, belirli bir kullanıcının kişiselleştirilmiş modelinin ötesinde bir makine öğrenimi veya yapay zeka modeli oluşturmak, eğitmek ya da iyileştirmek amacıyla kullanıcı verilerinin aktarılması, satılması veya kullanılması.

Veri kullanımınızın Sınırlı Kullanım kısıtlamalarına uygun olduğuna dair olumlu veya benzer bir ifade, uygulamanızda veya web hizmetinize ya da uygulamanıza ait bir web sitesinde açıklanmalıdır. Örneğin, ana sayfada özel bir sayfaya veya gizlilik politikasına yönlendiren bir bağlantıda "Workspace API'lerinden alınan bilgilerin kullanımı, "Google Kullanıcı Verileri Politikası'ndaki benzer veya sınırlı kullanım şartlarına uyuyor. Sınırlı Kullanım veya Sınırlı Kullanım kısımlarına uyuyor.

Güvenli bir işletim ortamı sağlama

Aktarım halindeki ve aktif olmayan tüm kullanıcı verilerini güvenli bir şekilde işleyin. Workspace API'lerini kullanan tüm uygulamaları veya sistemleri ve ondan elde edilen verileri yetkisiz ya da yasa dışı erişime, kullanıma, yok edilmeye, kaybolmaya, değiştirilmeye veya ifşa edilmeye karşı korumak için makul ve uygun adımları atın.

Kısıtlanmış Kapsamlar'a erişen uygulamalar belirli güvenlik uygulamalarına uyduklarını göstermelidir.

Önerilen güvenlik uygulamaları arasında, ISO/IEC 27001'de belirtildiği gibi bir Bilgi Güvenliği Yönetim Sistemi'nin kullanıma alınması ve sürdürülmesi, ayrıca uygulamanızın veya web hizmetinizin sağlam ve OWASP İlk 10 listesinde yer alan yaygın güvenlik sorunları içermediğinden emin olunması yer alır.

Gerekli güvenlik önlemleri şunlardır:

  1. Kullanıcı verilerini şifrelemek için sektörde kabul gören bir şifreleme standardının kullanılması:

    1. Taşınabilir cihazlarda veya taşınabilir elektronik ortamlarda depolanan ürünler;
    2. Google'ın veya sistemleriniz dışında korunur;
    3. Yalnızca sizin tarafınızdan yönetilmeyen herhangi bir harici ağ üzerinden aktarıldığında ve
    4. Sistemlerinizde aktif olmayan veriler.

  2. Güvenli modern protokoller kullanarak veri aktarma (örneğin, HTTPS üzerinden).

  3. Kullanıcı verilerini ve kimlik bilgilerini, özellikle de OAuth erişim ve yenileme jetonları gibi jetonları kullanımda değilken şifrelenmiş halde tutma.

  4. Anahtarların ve anahtar materyallerinin uygun şekilde yönetilmesini (ör. donanım güvenlik modülünde veya eşdeğer güçlü anahtar yönetim sisteminde depolandığından) emin olun.

Kısıtlanmış Kapsamlar için gerekli güvenlik önlemleri arasında, Cloud Uygulama Güvenlik Değerlendirmesi (CASA) da bulunmaktadır. Ayrıca, erişilen API'ye ve kullanıcı izinlerinin veya kullanıcıların sayısına bağlı olarak uygulamanızın veya hizmetinizin periyodik güvenlik değerlendirmesinden geçmesini ve Google tarafından atanmış bir üçüncü taraftan Değerlendirme Belgesi almasını da isteyebiliriz.

Google Verileri'nin saklandığı sistemlere, ağlara, hesaplara veya diğer konumlara yapılan yetkisiz erişimleri ("Güvenlik Olayı") security@google.com adresinden Google'a derhal bildirmeyi kabul edersiniz. Bilinen veya şüphelenilen bir Güvenlik Olayı'nı düzeltmek için Google ile tam bir işbirliği yapmayı ve böyle bir durumda, bilinen veya şüphelenilen bir Güvenlik Olayı ile ilgili herkese açık bir açıklama yapmadan önce security@google.com adresinden Google'ı bilgilendirmeyi kabul edersiniz.

Kısıtlanmış kapsamlar

Workspace Kısıtlanmış kapsamları şunları içerir:

  1. Bir uygulamanın şunları yapmasına izin veren herhangi bir Gmail API kapsamı:

    1. İleti gövdelerini (ekler dahil), meta verileri veya üstbilgileri okuma, oluşturma ya da değiştirme veya
    2. Posta kutusu erişimini, e-posta yönlendirmeyi veya yönetici ayarlarını kontrol edin.

  2. Bir uygulamanın şunları yapmasına izin veren herhangi bir Google Drive API kapsamı:

    1. Kullanıcı tek tek dosya erişim izni vermeden bir kullanıcının Drive dosyalarının içeriğini ya da meta verilerini okuyabilir, değiştirebilir veya yönetebilir.

  3. Bir uygulamanın şunları yapmasına izin veren herhangi bir Google Chat API kapsamı:

    1. Kullanıcıların Chat mesajlarının içeriğini ya da meta verilerini okuma, değiştirme veya yönetme.

Daha fazla ayrıntı için Kısıtlanmış Kapsamlar listesine bakın.